ソブリン ランディング ゾーンの展開と構成

  • [アーティクル]

ソブリン ランディング ゾーン (SLZ) を展開して構成する前に、さまざまな前提条件手順を完了する必要があります。

SLZ を展開する

SLZ は、クラウド導入フレームワーク (CAF) のベスト プラクティスの一部として エンタープライズ規模のランディング ゾーン に沿った方法でさまざまな Azure リソースを展開および構成し、組織がデータ主権要件を達成するために構成できる適切なガードレールを提供します。 SLZ とそのすべての機能の詳細な概要については、GitHub の ソブリン ランディング ゾーン ドキュメントを参照してください。

前提条件

展開を完了するには、前提条件となる手順を実行する必要があります:

  • ローカル環境に次のバージョン (またはそれ以降) がインストールされていることを確認してください。

    • PowerShell 7.0
    • Azure RM 2.51.0
    • Azure Bicep 0.20.0
    • Azure PowerShell 10.0.0

  • Azure で次のアクセス許可を持つ Microsoft Entra ID の IDにアクセスできる必要があります。

    • サブスクリプションを作成する (または既存のものを使用する)
    • サブスクリプションの所有者
    • サービス プリンシパルを作成する
    • ポリシー セットの定義と割り当てを作成する。

ソブリン ランディング ゾーンを展開する手順

  1. ソブリン ランディング ゾーン のローカル コピーを確認します。

  2. Confirm-SovereignLandingZonePrerequisites.ps1 スクリプト を実行して、ローカル ランタイム環境と Azure のアクセス許可の前提条件が満たされていることを検証します。

  3. SLZ リポジトリのローカル コピーにある必要なパラメーターを使用して、パラメーター ファイル を更新します。 次の最小限のパラメーターで SLZ 展開を作成できます:

    • SLZ の一意で人間が判読できる名前
    • 展開の場所と承認された場所
    • 新規作成または既存のサブスクリプションの請求情報

  4. (オプション) コンプライアンスに必要なカスタム ポリシー定義を追加します。

  5. New-SovereignLandingZone.ps1 展開スクリプト内の すべて のステップを実行します。 初期展開プロセスには 1 時間以上かかる場合があります。

  6. 展開スクリプトの最後にあるコンプライアンス ダッシュボード出力ファイルをチェックアウトして、展開が完了したことを確認します。

詳細については、GitHub の ソブリン ランディング ゾーン ドキュメントを参照してください。

ソブリン ベースライン ポリシーの取り組みを構成する

ソブリン ベースライン ポリシーの取り組みを構成するには、次の SLZ 構成パラメーターを使用する必要があります。

  • parAllowedLocations: このパラメーターを使用して、機密管理グループのスコープ外で SLZ によって展開されるすべてのリソースの場所制限ポリシーを構成します。

  • parAllowedLocationsForConfidentialComputing: このパラメーターを使用して、機密管理グループのスコープ内で展開されるリソースの場所制限ポリシーを構成します。 このパラメーターは parAllowedLocations パラメーターと同じにすることができますが、Azure 機密コンピューティングが指定したリージョンで利用できない場合は、異なる必要がある可能性があります。

  • parPolicyEffect: このパラメーターは、運用ワークロードに推奨される deny 効果を持つベースラインと audit 効果を切り替えます。

詳細については、GitHub の ソブリン ランディング ゾーン ドキュメントを参照してください。

ポリシー ポートフォリオまたは ALZ ポリシーを使用する

ポリシー ポートフォリオ内のプレビュー イニシアチブは、SLZ 展開で使用する前にその定義を展開する必要があります。 これらの定義の展開の詳細については、ポリシー ポートフォリオ に関する記事を確認してください。 これらの手順を使用して、定義を既存のランディング ゾーンに展開できます。

これらのポリシー イニシアチブを構成するには、次の構成パラメーターを使用します:

  • parCustomerPolicySets: このパラメータを使用すると、ユーザーは、SLZ 展開の最上位管理グループ スコープで割り当てるポリシー セット定義のリストを指定できます。

  • parDeployAlzDefaultPolicies: このパラメータを使用すると、ALZ ポリシー は、SLZ 展開内の関連するスコープで展開できます。

詳細については、GitHub の ソブリン ランディング ゾーン ドキュメントを参照してください。

プラットフォームまたはアプリケーションのランディング ゾーンを展開する

SLZ が展開されたら、次の手順に従ってプラットフォームまたはアプリケーション ランディング ゾーンをプロビジョニングできます:

  1. ALZ ランディング ゾーン ベンディング のローカル コピーを確認します。

  2. ベンディング モジュールの構成に必要な、関連する管理グループ、場所、リソース ID などについては、既存の SLZ 展開ログを参照します。

  3. main.bicep ファイルを適切なパラメーターで更新して、bicep スクリプトを実行します。

詳細については、GitHub の ソブリン ランディング ゾーン ドキュメントを参照してください。

参照